Cyber-Angriff: Daten von Politikern gestohlen: Was trieb den Hacker an?

Mit einer Mischung aus Belustigung und Verwunderung reagierte Deutschland auf die Festnahme des 20-jährigen Hackers, der Daten von rund 1000 Politikern, Prominenten und Journalisten abgezapft hat. Ein Nerd, der vom Kinderzimmer aus die Behörden herausfordert? Ein Stubenhocker, der es schafft, die Sicherheitsdienste in Alarm zu versetzen?

„Kinderzimmer-Täter“ seien im Bereich der Cyberkriminalität keine Seltenheit, erklärt BKA-Präsident Holger Münch. Er warnt Eltern: Nicht alle, die viele Stunden einsam vor dem Bildschirm sitzen, wollen nur spielen. Er erinnert an einen jungen Täter, der von zu Hause aus im großen Stil im Darknet Drogen verkauft hat. Noch nicht einmal neu ist das Phänomen: Am 23. Juni 1987 setzten amerikanische Fahnder einen damals 25 Jahre alten Programmierer in Hannover fest, der über das Internet militärische Einrichtungen in den USA ausgespäht hatte – darunter auch das Pentagon, Sitz des US-Verteidigungsministeriums. Mit Hilfe weiterer Hacker aus Hannover hatte der Mann die brisanten Daten in Ostberlin dem sowjetischen Geheimdienst KGB angeboten. Sein Synonym im Netz war damals übrigens „Urmel“.

Häufig steckt noch nicht einmal eindeutige kriminelle Energie hinter den Taten – sondern vielmehr eine ausgeprägte Eitelkeit und der Wunsch, es der Gesellschaft einmal so richtig zu zeigen. Auch der 20-jährige Hesse hat keine Vorstrafen. Doch für die Behörden ist er auch kein ganz unbeschriebenes Blatt. Münch sagt, der inzwischen wieder freigelassene Beschuldigte sei bereits vor gut zwei Jahren als Tatverdächtiger im Zusammenhang mit der „Ausspähung von Daten“ ermittelt worden. Der BKA-Chef zeichnet das Bild eines jungen Mannes, der zwar starke Meinungen hat – die Politiker, deren Daten er veröffentlicht hat, hat er sich danach ausgesucht, ob ihm ihre Äußerungen oder die Positionen ihrer Partei nicht passten. Nach Meinung des Vorsitzenden des Chaos Computer Clubs, Linus Neumann, habe der Angreifer aber ein „viel zu großes Geltungsbedürfnis“. Er habe sich regelmäßig damit gerühmt, bestimmte Personen in Fallen gelockt und ihre Accounts übernommen zu haben. „Stellen Sie sich einen Bankräuber vor, der nach seiner Tat damit angibt, wie einfach es war, eine Bank zu überfallen oder wie viel Geld er jetzt hat – das geht nicht lange gut.“

In der Szene war der Hacker bekannt

Vom Vorgehen des Täters distanziert er sich deutlich. „Wir haben einen ganz klaren Grundsatz: öffentliche Daten nützen, private Daten schützen. Das mit dem Schützen der privaten Daten wurde in dem Fall nicht so ernst genommen, insofern ist es ein ganz klarer Verstoß gegen unsere ethischen Leitlinien.“ Der Chaos Computer Club interessiere sich selbstverständlich für die technische Seite des Hackings, „wir machen das aber mit einer gesellschaftlichen Verantwortung“, erklärte Neumann. „Das heißt, wir setzten unsere Fähigkeiten und Möglichkeiten dafür ein, bekannte Sicherheitslücken zu schließen, Personen zu warnen und so darauf hinzuarbeiten, dass die Welt insgesamt eine sicherere wird.“

In der Szene selbst ist @_0rbit, wie sich der Hacker nannte, wohl kein Unbekannter. Laut Tomasz Niemiec, einem deutschen Youtuber, agierte er unter verschiedenen Pseudonymen, oft erkennbar dadurch, dass er in seinen Namen das O durch eine Null ersetze.

Der Beschuldigte sei sehr computeraffin, verfüge aber über keine entsprechende Ausbildung, etwa als Informatiker, sagt der Sprecher der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main, Georg Ungefuk. Der Mann habe viel Zeit damit verbracht, sich am PC bestimmte Kenntnisse anzueignen. Das grundsätzliche Computer-Interesse und Zeit seien die Faktoren, die bewirkten, dass viele junge Leute ohne Informatik-Ausbildung sich solche Kenntnisse aneignen und entsprechend im Internet agieren könnten, sagt Ungefuk.

Mit einer harten Strafe muss der Hacker aus Hessen wohl nicht rechnen. Zwei Straftatbestände sind besonders relevant. Sie finden sich in den Strafgesetzbuch-Paragrafen 202a und 202d: Ausspähen von Daten und Datenhehlerei. Beide sind recht schnell erklärt: Unter Ausspähen von Daten versteht man, dass sich ein Täter Zugang zu Daten verschafft hat, die geschützt und nicht für ihn bestimmt sind. Darunter fällt es etwa, sich in ein Benutzerkonto einzuhacken, das einem nicht selbst gehört. Datenhehlerei ist, Daten zu verbreiten, die andere Personen erbeutet haben. Zudem muss damit ein Zweck verbunden sein, etwa jemand anderem zu schaden oder sich zu bereichern.

Welche Strafe droht dem Hacker?

Maximal drei Jahre Haft gibt das Strafgesetzbuch her, auch eine Geldstrafe ist möglich. Es besteht die Möglichkeit, den 20-jährigen Täter nach dem Jugendstrafrecht zu verurteilen. Das ist bei allen Personen, die noch nicht 21 sind, möglich. Maßgeblich ist die festgestellte Reife des Angeklagten. Im Falle einer Verurteilung nach Jugendstrafrecht soll das Urteil vor allem erzieherische Wirkung entfalten.

Möglich ist, dass die vom Datendiebstahl Betroffenen den zivilrechtlichen Weg beschreiten. Neben Unterlassungen sind auch Schadensersatz- oder Schmerzensgeld-Forderungen der betroffenen Prominenten und Politiker möglich. „Der Hacker wird zumindest wirtschaftlich seines Lebens nicht mehr froh“, sagt Rechtsanwalt Peter Hense gegenüber Spiegel-online. „Wir reden von hohen sechsstelligen Beträgen – wenn das ausreicht.“

Trotzdem fordert die bayerische Staatsregierung vom Bund härtere Strafen für Hacker. „Das ist kein Kavaliersdelikt, sondern eine schwere Straftat“, sagte Ministerpräsident Markus Söder (CSU). Er kündigte eine Initiative des Freistaats im Bundesrat an.

Lesen Sie auch unseren Kommentar: Cyber-Attacke: Kein Grund zur Entwarnung .